Topic: SME 7 und openVPN

[prittstift69]

Hallo,

meine Versuche über openVPN eine Verbindung zu einem SME 7 Server aufzubauen sind ins stocken gekommen.

bisherige Informationsquellen:

Howto build a vpn tunnel between two Sme7 servers with Openvpn
http://www.hanscees.com/sme7/smecontribs.html

OpenVPN (deutsch) - Humbolt Universität
http://sarwiki.informatik.hu-berlin.de/OpenVPN_(deutsch)

und andere

Der SME 7 ist ein reiner File-Server. Die Anbindung des Intranets ans Internet geschieht über einen Hardware-Router.
Ein Zugriff auf den SME Server über FTP aus dem Internet ist über dyndns.org möglich.
Ich würde gerne über openVPN die Freigaben des SME Servers über das Internet nutzen können.

Hat jemand Lust mir zu helfen?

Danke

Stephan Leci

[michaXXL]

Ich experimentiere auch etwas, und habe erfahren, dass man den Server und den Klienten bridgen (Tap-devices) muss, um hier sauber arbeiten zu können. Beim Routen wird der (das?) Broadcast ignoriert. Die Windows-Netzwerkumgebung benötigt aber Broadcast, um zu kommunizieren. Bin aber noch nicht zum Ziel gelangt. Ich würde mich freuen, wenn dieses Thema hier gründlich behandelt würde.
Gruß Michael

Siehe auch hier:
http://sme.swerts-knudsen.dk/index.html?frame=http%3A//sme.swerts-knudsen.dk/howtos/howto_30.htm

[prittstift69]

Ich glaube das ist ein Fall für Stefan24.

[michaXXL]

oder berdie!
Gruß michaXXL

[psc]

Ich experimentiere auch etwas, und habe erfahren, dass man den Server und den Klienten bridgen (Tap-devices) muss, um hier sauber arbeiten zu können. Beim Routen wird der (das?) Broadcast ignoriert. Die Windows-Netzwerkumgebung benötigt aber Broadcast, um zu kommunizieren. Bin aber noch nicht zum Ziel gelangt. Ich würde mich freuen, wenn dieses Thema hier gründlich behandelt würde.
Gruß Michael

Siehe auch hier:
http://sme.swerts-knudsen.dk/index.html?frame=http%3A//sme.swerts-knudsen.dk/howtos/howto_30.htm

Windows ist nicht routebar ... für die "Verbindung" von zwei Netzen brauchst Du auf beiden Seiten einen WINS-Server.

Aber wozu ?

Auf Shares kann man ganz einfach per \\IP-Adresse\Freigabename zugreifen (auch in "net use..." verwendbar um Netzlaufwerke zu verbinden). Noch besser ist natürlich gleich per Terminalservices zu arbeiten.

[berdie]

oder berdie!

Leider kann ich nichts zu diesem Thema beitragen. Mein SME-Server läuft in einer DMZ hinter einer IPCop-Firewall,
für die ich OpenVPN erfolgreich einsetze. Insofern könnte ich da auch gar nichts testen.
OpenVPN für den SME-Server ist aber als Server to Server-Variante im Gespräch,
siehe auch http://forums.contribs.org/index.php?topic=30770.0

Gruß
Dietmar

[stefan24]

Ich glaube das ist ein Fall für Stefan24.

Ich habe meinen SME 7 Server schon für OpenVPN konfiguriert (nach der Anleitung von Jesper Knudsen), meinen Windows 2000 Notebook auch, muss jetzt nur noch zu einem offenen Netz und das testen. Morgen bin ich länger bei einem Kunden, da werde ich das testen.

Meine Konfig: AVM Fritz!Box als DSL6000-Router mit Portweiterleitung auf den SME 7 Server (Server-only), der eine interne IP-Adresse hat.

[michaXXL]

Mein VPN-Verbindung läuft tadellos. Nur komme ich nicht ins LAN hinter meinem SME.
Meine Konfig:  Klient(XP)-->Router<--->WAN<--->Router-->Server(SME6.01).
Ist warscheinlich ein Routing-Problem.
Gruß Michael

[psc]

Mein VPN-Verbindung läuft tadellos. Nur komme ich nicht ins LAN hinter meinem SME.
Meine Konfig:  Klient(XP)-->Router<--->WAN<--->Router-->Server(SME6.01).
Ist warscheinlich ein Routing-Problem.
Gruß Michael

Also entweder es "läuft tadellos" oder man kommt nicht ins LAN.
Ein bischen wundere ich mich allerdings über den Router VOR dem SME Server, eigenlich sollte hier nur ein DSL-Modem stehen.

Es gibt seeeeeeeeeeeeeeeehr wenig Gründe für einen Router vor einer Firewall.

Heisst "nicht ins LAN kommen" das Du einen PC im LAN nicht anpingen kannst  oder das Du die "LAN" PC´s nicht in der Netzwerkumgebung siehst ?

psc

[michaXXL]

Bei den Routern handelt es sich um DSL-Modem-Router.
Die Verbindung zwischen Klient und Server ist tadellos, die Verbindung ins LAN hinter dem Server natürlich nicht.

Heisst "nicht ins LAN kommen" das Du einen PC im LAN nicht anpingen kannst oder das Du die "LAN" PC´s nicht in der Netzwerkumgebung siehst ?

So ist es!
Gruß Michael

[psc]

Bei den Routern handelt es sich um DSL-Modem-Router.
Die Verbindung zwischen Klient und Server ist tadellos, die Verbindung ins LAN hinter dem Server natürlich nicht.

Heisst "nicht ins LAN kommen" das Du einen PC im LAN nicht anpingen kannst oder das Du die "LAN" PC´s nicht in der Netzwerkumgebung siehst ?

So ist es!
Gruß Michael

Ja was ist denn so ?
Wie wurde die Verbindung ins LAN gestestet ?
Kann man einen PC im LAN erfolgreich anpingen ?

Wenn die Verbindung zum SME klappt, poste mal die ausgabe von folgendem Kommando:

netstat -rn

Zum Anschluß:
Also offensichtlich ein Router mit integriertem DSL-Modem (DSL-Modem-Router gibt es nicht).
Bei fast allen solchen Geräten kann man die Verwendung als reines DSL-Modem einstellen, dann werden alle Zugangsdaten auf dem SME
eingegeben. Das (nunmehr reine Modem) wird an einer weiteren Netzwerkkarte angeschlossen.

Oh ... da fällt mir ja noch was ganz schlimmes ein .... wieviele Netzwerkkarten hast Du denn am SME in Betrieb ?

[michaXXL]

Offensichtlich missverstehen wir uns.
Mein SME ist Nur-Server (und VPN-Server) und steht mit einer Reihe anderer PC's hinter dem Modem-Router (mit Portforwarding). Der Modem-Router übernimmt die Einwahl ins WAN, würde auch anders nicht gehen (oder doch?).
Auf der anderen Seite noch mal das Gleiche, nur halt ein XP-Rechner im LAN mimt den VPN-Klienten.

"So ist es!" bezieht sich auf deine Frage:

Heisst "nicht ins LAN kommen" das Du einen PC im LAN nicht anpingen kannst oder das Du die "LAN" PC´s nicht in der Netzwerkumgebung siehst ?

Also, ich kann den VPN-Server (den SME) im gegeüberliegenden LAN anpingen, sowohl auf der VPN-Adresse (10.8.x.x) als auch auf seiner lokalen Adresse (192.168.x.x).
Der Klient lässt sich von VPN-Server (SME) auch anpingen. Nur halt kein anderer Rechner im gegenüberliegenden LAN.
Also, es sind nur der VPN-Server, sowie der VPN-Klient erreichbar, anpingbar.
Mit Anpingen meine ich immer von der anderen Seite des WANs.

Hier das Ergebnis von Netstat:

Routingtabelle
===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 13 d4 66 d7 39 ...... Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethe
rnet Controller #4 - Paketplaner-Miniport
0x3 ...00 ff a0 03 de 56 ...... TAP-Win32 Adapter V8 - Paketplaner-Miniport
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.62       20
         10.8.0.0    255.255.255.0         10.8.0.2        10.8.0.2       30
         10.8.0.2  255.255.255.255        127.0.0.1       127.0.0.1       30
   10.255.255.255  255.255.255.255         10.8.0.2        10.8.0.2       30
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0    255.255.255.0     192.168.0.62    192.168.0.62       20
     192.168.0.62  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.0.255  255.255.255.255     192.168.0.62    192.168.0.62       20
     192.168.99.0    255.255.255.0         10.8.0.1        10.8.0.2       1
        224.0.0.0        240.0.0.0         10.8.0.2        10.8.0.2       30
        224.0.0.0        240.0.0.0     192.168.0.62    192.168.0.62       20
  255.255.255.255  255.255.255.255         10.8.0.2        10.8.0.2       1
  255.255.255.255  255.255.255.255     192.168.0.62    192.168.0.62       1
Standardgateway:       192.168.0.1
===========================================================================
Ständige Routen:
  Keine

Hier noch kurz die Netze:

192.168.99.0  das LAN mit dem SME
10.8.0.0         VPN
192.168.0.0    das LAN mit dem VPN-Klienten

[psc]

Offensichtlich missverstehen wir uns.
Mein SME ist Nur-Server (und VPN-Server) und steht mit einer Reihe anderer PC's hinter dem Modem-Router (mit Portforwarding). Der Modem-Router übernimmt die Einwahl ins WAN, würde auch anders nicht gehen (oder doch?).[SNIP]

Da liegt der Hund begraben, Dein SME ist kein Gateway.
Eine "normale" Installation als "Server und Gateway" sieht ungefähr so aus:

Code: [Select]


+-----+
| DSL |
|Modem|
+-----+
   |
   |
   |
   |
   |eth1
+------+       +-------+         +---+
|  SME |eth0   |LAN    |---------|PC1|
|Server|-------|Switch |         +---+
+------+       |od. Hub|-------+
               +-------+       | +---+
                               +-|PC2|
                                 +---+
Dein SME Server (und Gatway) hat also ZWEI Netzwerkkarten (eth0 und eth1). Eine Netzwerkkarte ist mit einem DSL Modem verbunden, die andere mit dem LAN.
Das DSL-Modem hat also keine direkte Verbindung mit dem LAN !
Die Zugangsdaten deines Providers werden  ausschlieslich auf dem SME-Server eingegeben, der als "Server und Gateway" konfiguriert ist.

Wenn man einen Router mit DSL Modem hat, muss man ihn zur Verwendung als DSL-Modem konfigurieren (der ist dann kein Router mehr und bridged alles weiter).

Alle Geräte im LAN erhalten als Standard-Gateway und DNS Server den SME Server.
Jetzt solltest Du surfen können.
Jetzt noch OpenVPN nach Anleitung drauf und schon kann man auch von aussen zugreifen.

Eine Verwendung des SME Servers als NUR Server ist ja ganz nett wenn man nur die Datei- und Druckserver -Funktionen nutzen will. Ist aber eigentlich im SOHO Bereich Unsinn. Da spielt ein (recht einfacher) Router weil man auch ein paar Packetfilter Regeln eingeben kann und das Gerät das wirklich eine Firewall sein könnte wird mit Portforwardings "versorgt"

[michaXXL]

Ich werde mal über dein Szenario nachdenken.
Eigendlich wollte ich für die Zukunft IPCop's als Router einsetzen, dann ist das Thema VPN auch sicher einfacher zu bewältigen
Den SME würde ich ungern direkt ans WAN stöpseln.
Danke für die Geduld.
Gruß Michael

[psc]

...
Eigendlich wollte ich für die Zukunft IPCop's als Router einsetzen, dann ist das Thema VPN auch sicher einfacher zu bewältigen
Den SME würde ich ungern direkt ans WAN stöpseln.
...

IPCop ist auch schön, das Schema bleibt dann gleich, nur SME durch IPCop ersetzen. Immer das Gerät das am WAN sitzt sollte auch VPN Server sein, heute ist das Dein Router (mit Modem).
Probleme bei SME an WAN kann ich aber überhaupt nicht verstehen, SME ist genauso sicher wie IPCop und VPN läuft bei mir in vielen Variationen und seit E-Smith 4.1 sehr stabil.

Allerdings .... die VPN Konfiguration ist unter IPCop erheblich einfacher...

[capri]

Wenn man einen Router mit DSL Modem hat, muss man ihn zur Verwendung als DSL-Modem konfigurieren (der ist dann kein Router mehr und bridged alles weiter).

Das stimmt so nicht!!

Bei mir ging es mit einigen DSL Modem Routern von Netgear.

Es ist darauf zu achten das der Router die relevanten Ports an die Adresse der externen Schnittstelle des SME Servers leitet dann geht das auch.

[psc]

Wenn man einen Router mit DSL Modem hat, muss man ihn zur Verwendung als DSL-Modem konfigurieren (der ist dann kein Router mehr und bridged alles weiter).

Das stimmt so nicht!!

Bei mir ging es mit einigen DSL Modem Routern von Netgear.

Es ist darauf zu achten das der Router die relevanten Ports an die Adresse der externen Schnittstelle des SME Servers leitet dann geht das auch.

Also dann mal so:
Wenn man einen Router mit DSL Modem hat und die Installation des SME ordentlich machen will, muss man ihn zur Verwendung als DSL-Modem konfigurieren (der ist dann kein Router mehr und bridged alles weiter).
[/b]

Natürlich funktioniert "es" auch mit Routern und Portweiterleitungen, das ist aber imho Pfusch !

[stefan24]

Bei mir läuft OpenVPN jetzt!

Massive Probleme gab es mit der Weiterleitung des UDP Ports 1194 durch die AVM Fritzbox auf den SME 7 Server, der als Server only läuft, wobei ich nicht sagen kann, wo der Fehler lag. Nach Umstellung auf TCP, Weiterleiten des TCP Ports 1194 von dem AVM Router und der Freischaltung dieses TCP Ports auf dem SME Server klappt der Zugriff von einem anderen DSL-Netz problemlos.

Vorgehensweise:

Exakt nach dem Howto von Jesper Knudsen (auf www.smeserver.de/download/sme7/contribs/openVPN/ "etwas" druckerfreundlicher, hier sind auch alle erforderlichen Dateien zu finden), wobei ich allerdings statt UDP TCP verwendet habe.
Die SME-Server, die direkt als Server und Gateway im Internet stehen oder die einen anderen Hardware-Router benutzen, könnten auch mit UDP problemlos zurechtkommen. UDP ist auch eher zu empfehlen (irgendwo auf http://www.openvpn.net steht dazu auch eine Begründung), deshalb probiert zuerst das aus.

Mein Install Script (s. URL oben) nimmt etwas Handarbeit ab, ist aber nicht unbedingt erforderlich.

Wenn der Server als Server Only läuft, muss man irgendwann im Lauf der Installation mit folgenden Befehlen den Port freischalten:

Code: [Select]

config set openvpn service status enabled access public UDPPort 1194
signal-event remoteaccess-update


Die Meldung  beim Starten des OpenVPN "SIOCDELRT: No such process" sollte übrigens kein Problem sein. Soweit ich herausgefunden haben, kommt die beim Löschen von Routen und beim Start wird die Route auf das virtuelle Netz 192.168.100.0 gelöscht, existiert aber IMHO zu diesem Zeitpunkt gar nicht.

Logs stehen nicht (wie man vermuten könnte) in /var/log/openvpn, sondern in der /var/log/messages. Im ersteren Verzeichnis findet man die Logins bzw. Login Versuche der VPN User.

Bei der Client Anmeldung muss man einen Benutzer und Passwort angeben. Ich denke, es reicht ein beliebiger angelegter Benutzer, allerdings nicht root oder admin (es wird auf User ID > 5000 geprüft).

Zugriffe auf das interne Netz sind möglich (inkl. /server-manager), ein net use hat zumindest über net use x: \\ip-adresse\sharename problemlos geklappt.

Vorsicht! Es gibt (siehe Heise Newsticker) seit kurzem eine neue OpenVPN Version 2.06, die eine kleinere Sicherheitslücke behebt. Ich habe noch nicht nach einem neuen RPM Paket für den SME Server gesucht, demnächst sollte aber etwas verfügbar sein.

Noch Fragen?

[capri]

Natürlich funktioniert "es" auch mit Routern und Portweiterleitungen, das ist aber imho Pfusch !

Fast jeder  Sicherheitsleitfaden für Serverbetrieb erwähnt das ein externer Firewall (Rechner/FW Router) einem Internen vorzuziehen ist, bei mir läufts seit drei Jahren so, das zusäzlich zum Internen Firewall eine ein Netgear FR328S ProSave Firewwallrouter nochmal nach Außen absichert, Probleme gab es dabei weder mit W2K3 Server, Gentoo, Debian, SuSe noch mit SME Server.

Was an der Router Lösung Pfusch sein soll verstehe ich nicht, die meißten Router arbeiten Intern mit Iptables, also den gleichen Mechanismus wie die meißten Linux Firewalls, mir sind nur Router die auch einen Schutz auf Applikationsebene verwenden zu Teuer drum laß ich diese Ebene dann doch den Server machen (SeLinux), auch wenn es Besser wäre wenn diese Aufgabe auch der FW Router übernimmt.

Zu Testzwecken habe ich jetzt mal den SME Server 7.0 (Neuinstallation) ohne Router nur mit DSL Modem betrieben, nach Außen war er gleich schnell wie mit Router, greift man aber vom internen Netzwerk auf das Internet zu ist subjektiv deutlich eine Verzögerung bei der Domainauflösung zu erkennen.


Ansonsten Thanx an Stefan, wiedermal eine prima Anleitung von ihm für den VPN Zugang!

[psc]

Fast jeder  Sicherheitsleitfaden für Serverbetrieb erwähnt das ein externer Firewall (Rechner/FW Router) einem Internen vorzuziehen ist, bei mir läufts seit drei Jahren so, das zusäzlich zum Internen Firewall eine ein Netgear FR328S ProSave Firewwallrouter nochmal nach Außen absichert, Probleme gab es dabei weder mit W2K3 Server, Gentoo, Debian, SuSe noch mit SME Server.

Warum soll das auch Probleme bereiten ?
Das Problem ist, da JEDER Router der auch nur ansatzweise Packetfilter bietet dick und fett Firewall auf die Packung druckt ... und leider "Otto Normalanwender" denkt "was gedruckt ist muss ja auch stimmen".
Application Proxy´s sind hier ein äußert wichtiger Punkt.

Was an der Router Lösung Pfusch sein soll verstehe ich nicht, die meißten Router arbeiten Intern mit Iptables, also den gleichen Mechanismus wie die meißten Linux Firewalls, mir sind nur Router die auch einen Schutz auf Applikationsebene verwenden zu Teuer drum laß ich diese Ebene dann doch den Server machen (SeLinux), auch wenn es Besser wäre wenn diese Aufgabe auch der FW Router übernimmt.

Wie gesagt, ein Paketfilter ist nur ein Teil einer Firewall.

Zu Testzwecken habe ich jetzt mal den SME Server 7.0 (Neuinstallation) ohne Router nur mit DSL Modem betrieben, nach Außen war er gleich schnell wie mit Router, greift man aber vom internen Netzwerk auf das Internet zu ist subjektiv deutlich eine Verzögerung bei der Domainauflösung zu erkennen.

Wenn es eine "deutliche" Verzögerung nach mehrfachem Verwenden einer Adresse ist, ist wohl was falsch konfiguriert. Ansonsten: Mehr (und bessere) Firewall-Prüfungen dauert halt (i.d.R. minimal) länger.
------------------------
Denkbar ist natürlich auch eine andere dennnoch sichere Konfiguration:

Der Router macht weiter wie bisher und hat z.B. eine interne IP: 192.168.1.1.
Der SME wird auf Server und Gateway mit fester IP konfiguriert:
externe IP: 192.168.1.2 Gateway 192.168.1.1
interne IP: 192.168.2.1

Der Router wird also (auf der internen) Seite mit einem Cross-Over Kabel an die externe Schnittstelle des SME angeschlossen.
Die andere (also interne) Schnittstelle des SME geht zum internen Switch.

Alle LAN Clients kennen nur noch den SME.

Alle Standard Funktionen gehen jetzt schon.

Für alles andere einzelne (oder alle !) Ports vom Router auf den SME forwarden.

Immer wenn ich SME schreibe kann man jederzeit auch z.B. eine IPCop, ClarkConnect o.ä. verwenden.

[capri]

Der Router macht weiter wie bisher und hat z.B. eine interne IP: 192.168.1.1.
Der SME wird auf Server und Gateway mit fester IP konfiguriert:
externe IP: 192.168.1.2 Gateway 192.168.1.1
interne IP: 192.168.2.1

Eben, genauso läufts bei mir, nur das kein Crossover Kabel nötig ist wozu auch, der Router diehnt ja nur als externes Firewall und es ist, außer mal zu Testzwecken, nur die externe Schnittstelle des SME angeschlossen, für das interne Netzwerk werkelt ein 1000Mbps Switch.

Hatte einige Lösungen durchgespielt, aber die Verwendete kam mir am sichersten und sinnvollsten vor.

Vielleicht noch ein kleiner Vorteil auch die Dienste die im Internet bereitgestellt werden (HTTP/S, POP3, IMAP usw.) laufen intern auf einer anderen IP als der offiziellen Statischen unter der die Domainen zu erreichen sind.

Der Geschinwidkeitsvorteil kann daher rühren das der FR328S einen schnellen RISC Prozessor hat, der Paketadressierung und -filterung schneller bewältigt, aber auch ein DG834B hat sich recht performant geschlagen.

[psc]

Eben, genauso läufts bei mir, nur das kein Crossover Kabel nötig ist wozu auch, der Router diehnt ja nur als externes Firewall und es ist, außer mal zu Testzwecken, nur die externe Schnittstelle des SME angeschlossen, für das interne Netzwerk werkelt ein 1000Mbps Switch.
....
Der Geschinwidkeitsvorteil kann daher rühren das der FR328S einen schnellen RISC Prozessor hat, der Paketadressierung und -filterung schneller bewältigt, aber auch ein DG834B hat sich recht performant geschlagen.

Ohne Crossover ist der Router direkt an das interne Netz angeschlossen, eben davon rate ich jedoch ab, da der Router KEINE Firewall ist sonder nur Firewall-Funktionalitäten bietet.
Für den Hobby Anwender sicherlich genug, jedoch keinesfalls im professionellen Einsatzbereich, in dem sich ein SME Server durchaus zu Hause fühlt.

Der Geschwindigkeitsvorteil ist logisch da, so ein Router macht ja auch nur einen Bruchteil der Arbeit einer Firewall.

[capri]

Ich vermute du verwechselst da was?

Es gibt Firewall Router und Firewall Router, der FR328 ist imho im mittleren Bereich zu sehen, ihm fehlt nur Hardware VPN Tunneling und ein Application Firewall, wer ein Application Firewall warten muß wird aber wissen, das es mit den Vorhandensein nicht getan ist, sondern das da laufend Arbeit anfällt die nicht gerade Trivial ist.

Bisher konnte der FR328 recht gut filtern, keine Meldung des internen Firewalls, nur gab es eine Zeit vor ein paar Monaten, da versuchten 'Scherzbolde' Sin Flood Attacken, die er aber erkannte und abblockte.

Das ein Firewallrouter der mit den Server über WLAN verbunden ist keinen Sinn macht dürfte bekannt sein, aber 100% Sicherheit gibts halt nur wenn man den Netzstecker zieht

[capri]

Was passieren kann wenn man SME Server 7.0rc1 ohne vorgeschaltenen guten Firewall Router, also nur mit DSL Modem betreibt, siehe den anderen neuen Beitrag von mir.

[psc]

Was passieren kann wenn man SME Server 7.0rc1 ohne vorgeschaltenen guten Firewall Router, also nur mit DSL Modem betreibt, siehe den anderen neuen Beitrag von mir.

Das ist nun wieder völliger Unsinn. Nicht alles was hinkt ist automatisch auch ein Vergleich. Ein ordentlich konfigurierter SME ist eine vollständige Firewall und auch reichlich im Einsatz. Auf welchem Gerät wurde das von Dir selbst installierte Root-Kit doch gleich wieder erkannt ?

Mit ist immer noch kein Fall bekannt, bei der ein "gepflegte" SME Server "geknackt" wurde.

Wenn man natürlich, wie hier passiert, selbst ein root-kit installiert ist alles verloren, es spricht nichts gegen Erweiterungen des SME, aber bitte nur wenn man auch genau weiss was man da macht.

Es ist diese Window$ Mentaliät, einfach mal als Zauberlehrling testweise alles installieren was möglichst bunt und neu ist, die root-kits und Co. Tür und Tor öffnet.

...sondern das da laufend Arbeit anfällt die nicht gerade Trivial ist.

Richtig !

So, jetzt langt es mir aber mit dem Thema, ich klinke mich hier aus.

[capri]

Ein ordentlich konfigurierter SME ist eine vollständige Firewall und auch reichlich im Einsatz. Auf welchem Gerät wurde das von Dir selbst installierte Root-Kit doch gleich wieder erkannt ?

Wie soll auch ein externes Sicherheitsgerät ein RootKit auf einen dahintergeschalteten Rechner erkennen? Das ginge doch, wenn überhaupt, höchstens mit einem eigenbauten Application Firewall und das auch nur wenn der AF auf den aktuellsten Stand ist.

Und warum wird jeder erfahrene Admin sagen "Ein externes Firewall (Rechner/Sicherheitsrouter)" ist einem Internen auf jeden Fall vorzuziehen"?
Ist doch ganz einfach, ist der Schädling mal auf dem Server hat er mehr Möglichkeiten den Schutz auszuhebeln als wenn er schon Vorher abgefangen wurde, auf einem Gerät auf den sonst keine Dienste außer denen für die Sicherheit laufen und in dem kein Medium ist auf den Daten gespeichert werden können.

Ich dachte das sei Allgemein bekannt?

Mit ist immer noch kein Fall bekannt, bei der ein "gepflegte" SME Server "geknackt" wurde.

Mir auch nicht, aber ist es nicht so das sich Viele schämen zuzugeben das sie gehackt wurden? Kann man doch dann nicht mehr mit seinem 'sicheren Server' prahlen und schließlich sind die meißten Probleme nicht von der Software her sondern im weiteren Sinne Fehler des Admins, ich möchte mich da auf keinen Fall ausnehmen

Dabei wäre es hilfreicher wenn man es zugibt und die gefundenen Daten auswertet, damit der Schutz verbessert werden kann.

Alles ist Hackbar, wissen wir doch spätestens seit Hackbar the Lion

Wenn man natürlich, wie hier passiert, selbst ein root-kit installiert ist alles verloren, es spricht nichts gegen Erweiterungen des SME, aber bitte nur wenn man auch genau weiss was man da macht.

Woher willst du bitte wissen das ich selbst Schuld, bin ich habe nicht viele Erweiterungen eingebaut sme7admin und Testweise die Caprisuite das wars, das Jamoola wurde in einen lokalen Ibay aus einer Originalen sauberen Datei installiert, einzig deutsche Sprache wurde über das Jamoola System direkt nachinstalliert.

Nach dem Hack wurden die maßgeblichen Passwörter geändert und natürlich der Schädling, soweit gefunden, entfernt, und Jetzt wieder ein kleiner Hack auf eine andere meiner Seiten, diese Seite lief zuvor auf einen W2K3 Server über 2 Jahre ohne einen Angriff der durchkam.

Es ist diese Window$ Mentaliät, einfach mal als Zauberlehrling testweise alles installieren was möglichst bunt und neu ist, die root-kits und Co. Tür und Tor öffnet.

Sorry, aber schön Langsam habe ich die Schn*** voll von den PHP CMS Zeugs das Zugriff auf das Dateisystem erlaubt (Stichwort 777 Verzeichnisse, openbasdir etc.)

[irian]

Code: [Select]

+-----+
| DSL |
|Modem|
+-----+
   |
   |
   |
   |
   |eth1
+------+       +-------+         +---+
|  SME |eth0   |LAN    |---------|PC1|
|Server|-------|Switch |         +---+
+------+       |od. Hub|-------+
               +-------+       | +---+
                               +-|PC2|
                                 +---+

Kann jemand immerhin mal erklaeren wie mann es konfiguriert mit einen Modem-Router und SME in Server Only Mode?
Da der dsl account einen dynamischen IP hat, ist auch noch dyndns installiert.

Ich versuche dann als Roadwarrior von einen anderen Lan (aendert staendig, aus verschiedene orten in Europa) zugang zu bekommen.

Oder geht das gar nicht?

Gruss,
Irian

[capri]

Das Bild zeigt aber eine typische Server - Gateway Situation.

Es gibt verschiedene Wege dein Vorhaben zu realisieren, der wohl Gebräuchlichste wäre nur einen VPN Zugriff von Außen auf den Server zu erlauben und alle anderen Ports dicht machen, eine vernüftige Lösung wäre da imho statt ein Modem einen guten DSL Router mit integriertem VPN einzusetzen, den die SME7 Sicherheit trägt nur solang man keine 'Löcher' aufreißt und das ist bei einer fehlerhaften VPN Einstellung schnell geschehen.

Was auch öfter Verwendung findet alles benötigten Dienste über SSH zu tunneln, was aber von der Einrichtung her etwas schwieriger ist.

[DaJackel]

Hallo!
Vielleicht hilft das jemanden:

http://sme.firewall-services.com/HowtoOpenVPN.pdf